Обновлять каждое существование определенного пакета в моих node_modules

Question

У меня возникает эта ошибка при установке пакета

found 14 vulnerabilities (1 low, 1 moderate, 12 high) run `npm audit fix` to fix them, or `npm audit` for details

Итак, я обнаружил, что некоторые из моих пакетов npm имеют уязвимую версию Зависимость называется tar. Поэтому все, что мне нужно сделать сейчас, это обновить этот пакет до более поздней версии> = 4.4.2.

Я вручную изменил версии всех tar зависимостей в моем package-lock.json и попытался выполнить следующие команды npm i npm audit fix npm audit fix --force но package-lock.json обновляет себя до прежних tar зависимостей. Я даже запустил npm cache clean --force и повторил приведенную выше команду, но результат тот же.

Есть ли способ, которым я могу специально обновлять каждую tar зависимость в моем node_modules из командной строки?

Answer 1

npm audit fix изменяет package.json при необходимости, изменяя версии пакета на совместимые, а package.json определяет возможные версии, которые появляются в package-lock.json.

Таким образом, вы не можете исправить уязвимости на основе версий, переписав package-lock.json, потому что npm install переписывает package-lock.json в любом случае .

npm audit fix переписывает версии в package.json для совместимых версий, которые не страдают от уязвимостей. Если запуск npm audit fix не устраняет проблемы с уязвимостью на основе версий, вам необходимо провести рефакторинг своего кода с использованием версий / библиотек, которые не полностью совместимы с точки зрения npm audit fix (в реальном мире изменения обычно очень незначительный). Вы можете использовать справку npm list, чтобы получить имя зависимости, для которой требуется неверная версия tar, и изменить версию этого пакета.